GitLab

Prepare your pipeline for AI-discovered zero-days (새 탭에서 열림)

AI는 이제 수십 년간 발견되지 않은 제로데이 취약점을 순식간에 찾아내고 공격 도구화하고 있으며, 이에 따라 기존의 수동적인 보안 대응 방식은 한계에 직면했습니다. 기업은 보안 통제를 개발 파이프라인(CI/CD)에 완전히 통합하고 AI 기반의 자동화된 탐지, 분류 및 복구 체계를 구축함으로써 공격과 방어 사이의 시간 간극을 좁혀야 합니다. **기존 취약점 관리의 한계와 AI 코드의 위험성** * 대부분의 보안 침해는 이미 패치가 존재함에도 적시에 조치하지 못한 '알려진 취약점'에서 발생하며, 취약점 조치에 걸리는 중앙값은 약 361일에 달할 정도로 대응이 느립니다. * AI 보조 도구(AI Coding Assistant)의 확산으로 인해 코드 생산량이 늘어남과 동시에, AI가 생성한 코드 내 보안 결함 또한 6개월 만에 10배 이상 급증했습니다. * AI는 패키지 이름을 환각(Hallucination)하거나 보안에 취약한 패턴을 복제하는 등 새로운 유형의 취약점을 양산하며 보안 팀의 검토 부담을 가중시키고 있습니다. **AI 속도에 맞춘 파이프라인 보안 전략** * **변경 시점의 정책 강제:** 보안 검토를 별도의 과정으로 두지 않고, 모든 코드 병합 요청(MR) 단계에서 보안 정책이 자동으로 실행되고 강제되도록 파이프라인을 설계해야 합니다. * **IDE 단계의 조기 차단:** 하드코딩된 비밀정보나 취약한 임포트 등 단순한 문제는 개발자가 코드를 푸시하기 전 IDE 단계에서 즉시 식별하여 피드백을 제공해야 합니다. * **자동화된 취약점 분류(Triage):** AI를 활용해 수많은 스캔 결과 중 실제 공격 도달 가능성(Reachability)과 위험도가 높은 항목을 선별함으로써 개발자의 불필요한 피로도를 줄여야 합니다. * **거버넌스 기반의 AI 복구:** AI가 제안한 수정안도 인간이 작성한 코드와 동일하게 자동 스캔, 승인 절차, 감사 추적(Audit Trail) 시스템을 거치도록 관리하여 신뢰성을 확보합니다. **지능형 파이프라인의 실무 대응 시나리오** * 새로운 제로데이 취약점이 발견되면 AI 보안 에이전트가 전사 리포지토리를 즉시 검색하여 해당 패키지의 사용 여부와 실제 노출 위험을 분 단위로 파악합니다. * 보안 엔지니어는 AI를 통해 영향받는 모든 프로젝트에 대한 복구 캠페인을 시작하며, AI가 제안한 패치가 테스트를 통과하지 못할 경우 AI가 스스로 코드를 수정하여 재시도합니다. * 모든 대응 과정은 자동으로 기록되어 사후 감사 시 스캔 결과, 적용 정책, 승인자 정보를 포함한 보고서로 즉각 출력됩니다. **실용적인 제언** 공격자들이 AI를 고도화하기 전, 조직은 다음 질문을 통해 파이프라인을 점검해야 합니다. 모든 병합 요청(MR)에서 보안 스캔이 강제로 실행되고 있는가? 취약점이 발견되었을 때 여러 도구를 거치느라 대응 시간이 지체되고 있지는 않은가? 지금 바로 파이프라인 내의 보안 파편화를 제거하고 통합된 자동화 체계를 구축하는 것이 미래의 AI 기반 공격을 막는 핵심입니다.

GitHub Copilot의 AI 학습 정책: 거버넌스를 향한 경종 (새 탭에서 열림)

GitHub Copilot이 2026년 4월부터 사용자 데이터를 모델 학습에 기본적으로 활용하겠다고 발표함에 따라, 기업 데이터 거버넌스에 대한 경각심이 높아지고 있습니다. 이러한 정책 변화는 특히 금융, 의료, 국방 등 규제가 엄격한 산업군에서 지적 재산권 유출과 규제 준수 리스크를 초래할 수 있습니다. 이에 대응하여 GitLab은 모든 요금제에서 고객 데이터를 학습에 사용하지 않는다는 원칙을 고수하며, 투명하고 감사 가능한 AI 거버넌스의 필요성을 강조하고 있습니다. ## GitHub 정책 변경의 주요 내용과 영향 * 2026년 4월 24일부터 Copilot Free, Pro, Pro+ 사용자의 입력값(Inputs), 출력값(Outputs), 코드 스니펫 및 관련 컨텍스트가 기본적으로 AI 모델 학습에 사용됩니다. * 학습에 활용되는 데이터는 마이크로소프트(Microsoft)를 포함한 GitHub 계열사와 공유될 수 있으며, 사용자가 이를 원치 않을 경우 직접 '옵트아웃(Opt-out)' 설정을 해야 합니다. * 이러한 변화는 기업들이 현재 사용 중인 AI 도구의 라이선스 등급을 재검토하고, 내부 보안 컨트롤이 적절히 구성되어 있는지 다시 확인해야 하는 계기가 되고 있습니다. ## 규제 산업에서 AI 거버넌스가 필수적인 이유 * **지적 재산(IP) 보호**: 소스 코드는 독점 알고리즘, 사기 탐지 로직, 거래 전략 등 기업의 핵심 자산을 포함하고 있으며, AI 모델 학습에 사용될 경우 경쟁사에게 해당 로직이 노출될 위험이 있습니다. * **규제 준수 요구사항**: 금융권의 모델 리스크 관리 지침(SR 11-7)이나 유럽의 디지털 운영 탄력성법(DORA) 등은 제3자 기술 제공자가 데이터를 처리하는 방식에 대해 문서화되고 감사 가능한 감독을 요구합니다. * **공공 및 의료 보안**: 미국 국립표준기술연구소(NIST 800-53)나 의료정보보호법(HIPAA) 등의 기준을 따르는 조직에서는 데이터가 통제된 경계를 벗어나는 것 자체가 운영상의 큰 리스크가 됩니다. ## GitLab이 제안하는 AI 데이터 보호 기준 * **학습 배제 원칙**: GitLab은 요금제와 관계없이 고객 코드를 AI 학습에 절대 활용하지 않으며, 협력하는 AI 벤더(Subprocessor) 또한 고객 데이터를 자체적인 목적으로 사용하지 못하도록 계약으로 금지하고 있습니다. * **AI 투명성 센터 운영**: 어떤 모델이 어떤 기능을 구동하는지, 데이터 보유 기간은 얼마인지, 하위 프로세서와의 관계는 어떠한지 등을 한곳에서 문서화하여 제공함으로써 기업의 감사 업무를 지원합니다. * **독립성 및 중립성 확보**: 특정 클라우드 제공자나 대규모 언어 모델(LLM)에 종속되지 않는 구조를 유지하며, 벤더의 데이터 처리 방식에 중대한 변경이 생길 경우에 대비한 'AI 연속성 계획'을 수립하고 있습니다. ## 실용적인 결론 및 제안 기업의 AI 도입은 이제 선택이 아닌 필수가 되었지만, 도입 과정에서 벤더에게 다음과 같은 구체적인 질문을 던져야 합니다. "우리 데이터가 모델 학습에 사용되는가?", "데이터 정책이 변경될 경우 어떤 보장을 받을 수 있는가?", "모든 AI 처리를 자체 인프라 내에서 수행할 수 있는가?". 단 30일 전의 고지만으로 데이터 활용 정책을 바꿀 수 있는 서비스는 규제 산업군에서 파트너가 아닌 잠재적 부채가 될 수 있습니다. 따라서 계약적 확실성과 감사 가능성을 제공하는 벤더를 선택하여 컴플라이언스 리스크를 선제적으로 관리할 것을 권장합니다.

What’s new in Git 2.54.0? (새 탭에서 열림)

Git 2.54.0 버전은 객체 데이터베이스(ODB)의 추상화를 통해 플러그 가능한 저장소 구조를 도입하고, 복잡한 대화형 리베이스를 대체할 직관적인 `git history` 명령어를 새롭게 선보였습니다. 이번 릴리스는 대규모 바이너리 처리나 플랫폼별 최적화 등 저장소 확장성을 확보하는 동시에, 개발자가 커밋 이력을 훨씬 쉽고 안전하게 관리할 수 있도록 사용자 경험을 대폭 개선하는 데 중점을 두었습니다. 약 2년에 걸친 내부 아키텍처 개편을 통해 Git은 더욱 현대적이고 유연한 도구로 진화하고 있습니다. ## 플러그 가능한 객체 데이터베이스 (Pluggable Object Databases) * 기존에 참조(refs) 저장 방식을 "files"와 "reftable"로 선택할 수 있었던 것처럼, 이제 객체(Objects) 저장 방식에도 추상화 계층이 도입되었습니다. * 그동안 Git 코드 곳곳에 하드코딩되어 있던 객체 저장 포맷(Loose objects, Packfiles) 가정을 제거하고, 다양한 백엔드를 수용할 수 있는 구조를 마련했습니다. * 현재는 커밋 생성, 그래프 표시, 병합 등 로컬 워크플로우의 상당 부분을 지원하며, 원격(Fetch, Push) 작업 지원을 위한 고도화 작업이 진행 중입니다. * 이러한 변화를 통해 향후 대용량 바이너리 파일을 효율적으로 저장하는 특수 포맷이나, GitLab과 같은 대규모 플랫폼에 최적화된 전용 스토리지 포맷을 도입하는 것이 가능해집니다. ## 커밋 이력 편집의 현대화와 git history 명령어 * 강력하지만 사용법이 복잡하고 난해했던 기존의 대화형 리베이스(`git rebase -i`)를 대체하기 위해 직관적인 `git history` 명령어가 추가되었습니다. * **git history reword**: 특정 커밋의 메시지를 즉시 수정할 수 있는 기능을 제공하여 사용자 편의성을 높였습니다. * **git history split**: 하나의 커밋을 두 개로 쪼개는 작업을 간편하게 수행할 수 있으며, 이는 최신 버전 관리 도구인 Jujutsu(`jj split`)의 영감을 받아 구현되었습니다. * 단순한 편집을 넘어, 수정된 커밋을 포함하고 있는 모든 로컬 브랜치를 자동으로 리베이스해주는 기능이 포함되어 있어 'Stacked Diffs(여러 개의 의존적 브랜치를 동시에 관리하는 방식)' 워크플로우를 강력하게 지원합니다. * 향후 `fixup`(수정 사항 자동 병합), `drop`(커밋 삭제), `reorder`(순서 변경), `squash`(커밋 합치기) 등 더 많은 서브 명령어가 추가될 예정입니다. ## 실용적인 결론 이번 업데이트는 Git의 내부 구조를 유연하게 재설계하여 미래의 저장 기술을 수용할 준비를 마쳤다는 점에서 큰 의의가 있습니다. 특히 `git history` 명령어는 리베이스 과정에서 실수를 두려워하던 사용자들에게 훨씬 안전하고 간결한 작업 방식을 제공하므로, 깔끔한 커밋 이력을 유지하고자 하는 개발자들에게 사용을 적극 권장합니다.

CI 전문가 및 데이터 분석가 AI 에이전트, 개발 격차 해소 겨냥 (새 탭에서 열림)

GitLab 18.11 버전에서 새롭게 출시된 'CI Expert Agent'와 'Data Analyst Agent'는 AI로 인해 급증한 코드 생산량과 이를 뒷받침하지 못하는 기존 시스템 사이의 간극을 메우는 데 집중합니다. 이 에이전트들은 GitLab Duo Agent Platform을 기반으로 개발되었으며, 외부 도구와 달리 GitLab 내부의 실제 파이프라인 데이터와 개발 주기 맥락을 실시간으로 파악하여 맞춤형 해결책을 제시합니다. 결과적으로 개발팀은 복잡한 CI 설정이나 데이터 분석에 소요되는 시간을 획기적으로 줄이고 실제 혁신과 배포에 더 집중할 수 있게 되었습니다. ### 효율적인 파이프라인 구축을 위한 CI Expert Agent (Beta) 개발자가 코드를 작성한 후 실제 실행 가능한 파이프라인을 구축하기까지 발생하는 병목 현상을 해결합니다. * **저장소 자동 분석:** 저장소 내 코드를 직접 검사하여 사용된 언어와 프레임워크, 테스트 환경을 스스로 감지합니다. * **YAML 자동 생성:** 수동으로 `.gitlab-ci.yml` 파일을 작성할 필요 없이, 해당 프로젝트에 최적화된 실행 가능한 빌드 및 테스트 구성을 즉시 제안합니다. * **대화형 가이드:** Agentic Chat을 통해 파이프라인의 각 단계가 왜 필요한지 평이한 언어로 설명해주어, CI 설정 경험이 적은 개발자도 쉽게 이해할 수 있습니다. * **맥락 기반 최적화:** GitLab 내부에서 실행되므로 과거 파이프라인의 성공 및 실패 패턴을 학습하여 팀의 작업 방식에 맞게 지속적으로 개선됩니다. ### 자연어 기반 데이터 분석을 지원하는 Data Analyst Agent (GA) 소프트웨어 개발 수명 주기(SDLC)에서 발생하는 방대한 데이터를 복잡한 쿼리 없이 자연어로 간단히 분석할 수 있게 돕습니다. * **자연어 질의 및 시각화:** "MR 리뷰에 시간이 얼마나 걸리나요?"와 같은 질문을 던지면 즉시 데이터를 분석하여 시각화된 차트와 답변을 제공합니다. * **역할별 맞춤 인사이트:** 엔지니어링 매니저는 사이클 타임을, 개발자는 플래키(Flaky) 테스트 패턴을, 플랫폼 엔지니어는 러너 활용률을 즉각적으로 파악할 수 있습니다. * **확장된 분석 범위:** 정식 출시(GA) 단계인 이번 버전에서는 MR과 이슈를 넘어 프로젝트, 파이프라인, 개별 작업(Jobs)까지 분석 범위가 대폭 확대되었습니다. * **쿼리 호환성:** 생성된 GLQL(GitLab Query Language)은 복사하여 대시보드나 마크다운 문서 등 GitLab 내 어디서든 재사용할 수 있습니다. ### 통합 플랫폼 환경에서의 실용적 가치 GitLab은 AI가 단순히 코드 작성을 돕는 수준을 넘어, 생성된 코드를 안전하게 배포하고 그 성과를 측정하는 전 과정을 가속화해야 한다고 강조합니다. CI Expert Agent와 Data Analyst Agent는 GitLab 플랫폼의 고유한 데이터를 직접 활용하므로 별도의 외부 도구 동기화가 필요 없으며, 사용할수록 팀의 특성에 맞는 정교한 어시스턴트로 진화합니다. 현재 GitLab Duo Agent Platform 무료 체험을 통해 이러한 에이전트들의 성능을 직접 경험해 볼 수 있습니다.

바로 병합 가능한 AI 코드 수정으로 조치 자동화하기 (새 탭에서 열림)

GitLab 18.11은 AI 기반의 '에이전틱 SAST 취약점 해결(Agentic SAST Vulnerability Resolution)' 기능을 정식 출시하며 보안 병목 현상을 획기적으로 개선했습니다. 이 시스템은 취약점을 자동으로 분석하고 테스트를 거친 수정 코드를 제안함으로써, 개발자가 보안 이슈 해결을 위해 컨텍스트를 전환하거나 수동으로 연구하는 시간을 대폭 줄여줍니다. 결과적으로 보안 취약점이 운영 환경에 도달하기 전에 선제적으로 대응할 수 있는 자율적인 보안 파이프라인 구축이 가능해졌습니다. ### 에이전트 기반 자동 수정 및 개발 흐름 최적화 * **자율적 취약점 해결:** GitLab Duo 에이전트가 취약점의 맥락을 분석하여 근본 원인을 해결하는 코드를 자동 생성하고, 자동화된 테스트를 통해 검증까지 마친 '병합 준비 완료(ready-to-merge)' 상태의 MR을 제공합니다. * **신뢰도 점수 제공:** 개발자는 에이전트가 제안한 수정 사항과 함께 제공되는 신뢰도 점수를 확인하여 신속하고 정확한 의사결정을 내릴 수 있습니다. * **증분 스캐닝(Incremental Scanning):** 전체 스캔이 완료될 때까지 기다릴 필요 없이 변경된 코드 부분에 대한 보안 결과를 즉시 확인할 수 있어 파이프라인의 속도가 향상되었습니다. ### 비즈니스 리스크 중심의 스마트한 우선순위 지정 * **CVSS 4.0 적용:** 최신 산업 표준인 CVSS 4.0을 도입하여 실제 환경에서의 악용 가능성을 더욱 정교하게 반영한 취약점 점수를 제공합니다. * **정책 기반 심각도 재정의:** AppSec 팀은 CVE, CWE, 특정 파일 경로 등의 신호를 바탕으로 취약점 심각도 점수를 자동으로 조정하는 정책을 설정하여, 단순 스캐너 출력값이 아닌 실제 비즈니스 위험도에 따라 업무 우선순위를 정할 수 있습니다. * **실질적 위험 차단:** 알려진 악용 취약점(KEV) 상태나 악용 예측 점수 시스템(EPSS) 임계값을 기준으로 병합(Merge)을 차단하거나 경고하는 승인 정책을 구성할 수 있습니다. * **보안 대시보드 강화:** 새로운 'Top CWEs' 차트를 통해 프로젝트 전반에서 가장 빈번하게 발생하는 취약점 클래스를 파악하고 시스템적인 리스크를 관리할 수 있습니다. ### 보안 거버넌스 강화 및 운영 부담 완화 * **보안 관리자(Security Manager) 역할 도입:** 코드 수정이나 배포 권한 없이도 보안 정책을 설정하고 취약점 조치 워크플로우를 관리할 수 있는 전용 역할이 추가되어, 권한 분리 및 보안 전문성 강화가 가능해졌습니다. * **SAST 구성 프로필:** 개별 프로젝트마다 YAML 파일을 수정할 필요 없이, 단일 위치에서 그룹 내 모든 프로젝트에 일관된 보안 스캔 설정을 한 번에 적용할 수 있습니다. * **운영 효율성 제고:** 개발자에게 일일이 스캐너 설정을 요청하거나 각 프로젝트의 커버리지 격차를 수동으로 확인할 필요가 없어 보안 팀의 운영 오버헤드가 크게 줄어듭니다. --- 보안 팀이 개발 속도를 따라잡지 못해 고민이라면, GitLab 18.11의 에이전틱 보안 기능을 도입해 볼 것을 권장합니다. 특히 **GitLab Ultimate** 사용자라면 'Agentic SAST Vulnerability Resolution'을 통해 보안 부채를 자동으로 탕감하고, 개발자는 코드 작성에만 집중할 수 있는 환경을 구축할 수 있습니다.

Claude Opus 4.7 is now available in GitLab Duo Agent Platform (새 탭에서 열림)

GitLab Duo Agent Platform에 Anthropic의 최신 AI 모델인 Claude Opus 4.7이 공식 도입되었습니다. 이 모델은 복잡한 다단계 추론과 정밀한 지시 이행 능력이 대폭 강화되어, 소프트웨어 개발 생애주기 전반에서 에이전트의 작업 효율을 극대화합니다. 사용자는 Agentic Chat 및 다양한 에이전트 기반 워크플로우에서 이 모델을 선택하여 더욱 신뢰도 높고 예측 가능한 자동화 결과를 얻을 수 있습니다. **추론 능력 및 지시 이행의 강화** - GitLab의 내부 평가 결과, Claude Opus 4.7은 이전 모델인 Sonnet 4.6 및 Opus 4.6보다 뛰어난 성능을 보이며 복잡하고 장기적인 작업을 더 효율적으로 처리합니다. - 조건부 작업에 대한 해석이 정밀해짐에 따라, 멀티스텝 취약점 조치(remediation)와 같이 정해진 단계를 충실히 따라야 하는 작업에서 오류를 최소화합니다. - 복합적인 도구를 사용하는 워크플로우에서 발생할 수 있는 '오류 누적' 문제를 개선하여, 결과물의 예측 가능성과 감사(Audit) 가능성을 높였습니다. **개발 수명 주기 전반의 워크플로우 최적화** - **코드 및 테스트 생성:** 에이전트가 결과를 사용자에게 보여주기 전 스스로 출력을 검증(Self-verification)함으로써, 개발자의 업무 흐름을 방해하는 불필요한 반복 작업을 줄여줍니다. - **보안 및 취약점 관리:** 강화된 지시 준수 능력을 바탕으로 에이전트가 정해진 범위 내에서 조치 시퀀스를 완수하며, 중간에 경로를 이탈하거나 추가적인 수정 지시를 요구하는 빈도가 낮아졌습니다. - **CI/CD 파이프라인:** 파이프라인 실패 시 로그 분석부터 해결책 제안까지 긴 호흡의(Long-horizon) 일관성을 유지합니다. 이를 통해 에이전트가 맥락을 잃지 않고 문제를 종결지을 수 있도록 지원합니다. **도입 방법 및 가용성** - Claude Opus 4.7은 현재 GitLab Duo Agent Platform 내 모델 선택 메뉴를 통해 즉시 사용할 수 있습니다. - 무료 체험판을 통해 모델 성능을 테스트해 볼 수 있으며, 기존 GitLab Premium 또는 Ultimate 구독자는 구독에 포함된 GitLab 크레딧을 사용하여 바로 활성화가 가능합니다. - 각 모델별 구체적인 크레딧 소모량과 상세 사양은 GitLab 공식 문서에서 확인할 수 있습니다. 복잡한 보안 조치나 대규모 CI/CD 장애 대응처럼 높은 수준의 추론이 필요한 환경이라면, Claude Opus 4.7의 강화된 에이전트 워크플로우를 활용하여 팀의 생산성을 높여볼 것을 추천합니다.

GitLab 18.11: GitLab 크레딧을 위한 예산 가드레일 (새 탭에서 열림)

GitLab 18.11은 GitLab Duo Agent Platform의 온디맨드 크레딧 사용을 제어할 수 있는 '예산 가드레일(Budget Guardrails)' 기능을 도입했습니다. 조직은 구독 전체 또는 개별 사용자 단위로 지출 상한선을 설정함으로써 AI 도입에 따른 비용 불확실성을 해소하고 예산 예측 가능성을 확보할 수 있습니다. 이를 통해 기업은 갑작스러운 비용 발생 걱정 없이 AI 에이전트 활용을 전사적으로 안전하게 확장할 수 있게 되었습니다. ### 구독 수준의 지출 상한 설정 * **월간 하드 실링(Hard Ceiling) 도입**: 청구 관리자는 Customers Portal에서 전체 구독에 대한 월간 크레딧 소비 한도를 설정할 수 있습니다. * **자동 액세스 제어**: 온디맨드 사용량이 설정된 상한선에 도달하면, 다음 결제 주기가 시작될 때까지 모든 사용자의 Duo Agent Platform 액세스가 자동으로 일시 중단됩니다. * **유연한 조정**: 관리자는 월 중간에 상한선을 높이거나 기능을 비활성화하여 즉시 액세스를 복구하는 등 상황에 따라 예산을 유연하게 변경할 수 있습니다. ### 사용자별 크레딧 제한 및 차등 관리 * **공정한 자원 배분**: 특정 헤비 유저가 조직 전체의 크레딧을 독점하는 것을 방지하기 위해 사용자당 사용 한도를 설정할 수 있습니다. * **개별 맞춤형 한도 적용**: GraphQL API를 통해 모든 사용자에게 동일한 한도를 적용하거나, 더 많은 크레딧이 필요한 수석 엔지니어 등에게는 별도의 높은 한도를 부여하는 '오버라이드' 기능이 제공됩니다. * **부분적 서비스 중단**: 사용자가 개인 한도에 도달하더라도 GitLab의 일반적인 기능은 정상적으로 이용 가능하며, 오직 크레딧을 소비하는 Duo Agent Platform 활동만 제한됩니다. ### 가시성 확보 및 알림 시스템 * **실시간 알림**: 구독 상한선에 도달하면 청구 관리자에게 즉시 이메일 알림이 발송되어 예산 증액이나 크레딧 재배분 여부를 신속히 결정할 수 있게 합니다. * **관리자 모니터링**: 그룹 소유자나 인스턴스 관리자는 한도 초과로 인해 차단된 사용자를 확인하고 관리할 수 있는 권한을 가집니다. * **데이터 기반 의사결정**: 크레딧 대시보드에서 제공되는 사용자별 상세 데이터를 활용해 부서별 비용 배분(Chargeback) 정책을 수립하거나 분기별 예산 계획을 세울 수 있습니다. ### 효율적인 AI 비용 관리를 위한 제언 기존의 좌석당(Seat-based) 고정 가격 모델은 사용량과 관계없이 비용이 발생하여 비효율적일 수 있습니다. GitLab의 사용량 기반 모델과 이번에 도입된 가드레일 기능을 결합하면 실제 사용한 만큼만 비용을 지불하면서도 지출 총액을 엄격히 통제할 수 있습니다. 대규모 조직이라면 GraphQL API를 활용해 직무별로 차등화된 크레딧 할당 정책을 자동화하여 운영 효율을 극대화할 것을 추천합니다.

GitLab 19.0의 중대 변경 사항 가이드 (새 탭에서 열림)

GitLab 19.0은 이전 메이저 업데이트 대비 파괴적 변경 사항(Breaking Changes)의 수를 대폭 줄여 안정성을 높이는 한편, 최신 보안 표준과 현대적인 인프라 기술로의 전환을 가속화합니다. 이번 릴리스는 NGINX Ingress의 대체, PostgreSQL 최소 요구 버전 상향, 보안상 취약한 인증 방식 제거 등 시스템 운영의 핵심적인 변화를 포함하고 있어 사용자들의 철저한 사전 준비가 필요합니다. 각 배포 유형에 따라 2026년 5월부터 순차적으로 적용될 예정이므로, 운영 환경의 호환성을 미리 점검하고 마이그레이션을 계획해야 합니다. ### 배포 유형별 업데이트 일정 * **GitLab.com (SaaS):** 2026년 5월 4일~6일 사이에 주요 변경 사항이 적용되며, 5월 11일~13일이 예비 기간으로 설정되었습니다. * **Self-Managed:** 2026년 5월 21일부터 공식적으로 19.0 버전을 사용할 수 있습니다. * **GitLab Dedicated:** 배포판 관리 정책에 따라 2026년 6월 22일 주간의 유지보수 창 내에 업데이트가 진행됩니다. ### 인프라 및 네트워킹 구성의 변화 * **Gateway API 및 Envoy 전환:** NGINX Ingress가 2026년 3월 종료됨에 따라, GitLab Helm 차트의 기본 네트워킹 구성이 Envoy Gateway 기반의 Gateway API로 변경됩니다. 기존 NGINX 사용자는 20.0 버전 전까지 수동으로 활성화하여 유지할 수 있으나 조속한 마이그레이션이 권장됩니다. * **내장형 컴포넌트 제거:** 테스트 및 PoC 용도로 제공되던 Helm 차트 내 번들 PostgreSQL, Redis, MinIO가 라이선스 및 유지보수 이슈로 인해 완전히 제거됩니다. 해당 서비스를 사용하는 환경은 반드시 외부 서비스로 전환해야 합니다. * **OS 지원 종료:** Ubuntu 20.04의 표준 지원 종료에 맞춰 해당 OS용 리눅스 패키지 제공이 중단됩니다. 19.0 업그레이드 전 Ubuntu 22.04 이상의 지원 버전으로 OS를 교체해야 합니다. ### 데이터베이스 및 미들웨어 요구사항 강화 * **PostgreSQL 17 필수화:** PostgreSQL 16 지원이 중단되고 17 버전이 최소 요구 사항이 됩니다. 리눅스 패키지 사용자는 18.11 버전에서 자동 업그레이드가 시도될 수 있으며, 클러스터 사용자는 수동 업그레이드가 필수입니다. * **Redis 및 Valkey 지원:** Redis 6 지원이 종료됩니다. 외부 Redis 운영 환경은 Redis 7.2 또는 새롭게 지원되는 Valkey 7.2로 마이그레이션해야 합니다. (AWS, GCP 등 클라우드 매니지드 서비스 포함) ### 보안 및 빌드 환경 업데이트 * **ROPC OAuth 흐름 제거:** 보안상 결함이 있는 리소스 소유자 비밀번호 자격 증명(ROPC) 방식이 OAuth 2.1 표준에 따라 완전히 제거됩니다. 이를 사용하는 앱이나 통합 서비스는 Authorization Code flow 등 보안이 강화된 방식으로 수정해야 합니다. * **Auto DevOps 빌더 업데이트:** 클라우드 네이티브 빌드팩(CNB) 이미지가 heroku/builder:22에서 24 버전으로 업데이트됩니다. 이를 통해 최신 런타임 환경을 지원하며 관련 파이프라인의 빌드 방식이 변경될 수 있습니다. 성공적인 GitLab 19.0 전환을 위해 Self-Managed 운영자는 18.x 버전대에서 제공되는 PostgreSQL 17 마이그레이션 도구를 미리 활용하고, Helm 차트 사용자는 Gateway API로의 네트워크 인프라 전환 계획을 우선적으로 수립할 것을 권장합니다.

GitLab과 Google Cloud Vertex AI: 에이전틱 개발의 발전 (새 탭에서 열림)

GitLab과 Google Cloud는 GitLab Duo Agent Platform과 Vertex AI를 결합하여 소프트웨어 개발 생명주기(SDLC) 전반에 걸친 '에이전틱(Agentic) AI' 워크플로우를 본격화하고 있습니다. 이 협업은 단순한 코드 생성을 넘어 기획, 리뷰, 보안 취약점 해결까지 자동화하며, 개발팀이 기존에 정의된 Google Cloud 보안 포스처 내에서 최신 파운데이션 모델을 안전하게 활용하도록 지원합니다. 결과적으로 기업은 복잡한 AI 인프라 관리 부담 없이 통합된 DevSecOps 제어 평면 위에서 소프트웨어 전달 속도를 획기적으로 높일 수 있습니다. ## SDLC 전반을 아우르는 지능형 에이전트의 역할 단일 작업에 집중하는 기존 AI 코딩 어시스턴트와 달리, GitLab Duo Agent Platform은 전체 소프트웨어 개발 프로세스를 유기적으로 연결합니다. * **통합된 컨텍스트 활용:** 백로그, 머지 리퀘스트(MR), 파이프라인 상태, 보안 결과 등 GitLab에 축적된 SDLC 데이터를 직접 참조하여 맥락에 맞는 의사결정을 내립니다. * **특화된 에이전트 협업:** 백로그를 분석하고 에픽을 구조화된 작업으로 나누는 'Planner Agent'와 보안 취약점을 우선순위별로 분류하고 해결책을 제시하는 'Security Analyst Agent'가 협업합니다. * **에이전틱 채팅(Agentic Chat):** 개발자는 자연어 쿼리를 통해 프로젝트의 전체 상태를 기반으로 한 다단계 추론 답변을 얻을 수 있으며, 이는 파편화된 도구를 사용할 때 발생하는 수동 핸드오프 문제를 해결합니다. ## Vertex AI 기반의 모델 유연성과 확장성 GitLab Duo는 모델 유연성을 핵심 설계 원칙으로 하며, Google Cloud의 Vertex AI를 통해 고성능 모델과 인프라를 제공받습니다. * **Vertex AI Model Garden 연동:** Gemini 모델뿐만 아니라 Model Garden에서 제공하는 다양한 써드파티 및 오픈소스 모델을 선택하여 성능, 비용, 규제 요건에 최적화된 모델을 사용할 수 있습니다. * **추론 성능 및 컨텍스트 확장:** 최신 Vertex AI 모델의 긴 컨텍스트 윈도우와 강화된 도구 사용(Tool Use) 능력을 통해 대규모 모노레포 보안 리뷰나 복잡한 백로그 분석과 같은 고난도 작업을 수행합니다. * **자체 모델 도입(BYOM):** GitLab 18.9부터 지원되는 BYOM 기능을 통해 고객은 승인된 프로바이더와 게이트웨이를 직접 구성하여 기업 고유의 보안 모델 내에서 AI 에이전트를 운영할 수 있습니다. ## 기업용 거버넌스와 클라우드 경제성 확보 Google Cloud 환경에서 GitLab Duo를 사용하는 기업은 보안 관리와 비용 최적화 측면에서 강력한 이점을 얻습니다. * **표준화된 AI 제어 평면:** 여러 개의 개별 AI 도구를 관리하는 대신, Vertex AI 기반의 모델들을 GitLab 내부에서 통합 관리함으로써 섀도우 AI(Shadow AI) 발생을 억제하고 보안 정책을 일관되게 적용합니다. * **데이터 프라이버시 보호:** Google Cloud의 업계 선도적인 데이터 프라이버시 및 모델 보호 기술을 그대로 활용하여 기업의 민감한 코드가 안전하게 처리되도록 보장합니다. * **운영 효율성 강화:** 개발자가 보안 취약점 수정 제안을 확인하고 검증하는 과정을 동일한 플랫폼 내에서 처리함으로써 컨텍스트 스위칭을 줄이고, 기존 Google Cloud 계약 범위 내에서 AI 사용량을 통합 관리하여 중복 지출을 방지합니다. GitLab과 Vertex AI의 통합은 AI 인프라의 복잡성을 제거하고 개발팀이 본연의 업무인 코드 작성에만 집중할 수 있는 환경을 제공합니다. 기업은 파편화된 AI 도구 체인을 관리하는 위험에서 벗어나, 검증된 단일 시스템 오브 레코드(System of Record) 내에서 안전하고 빠르게 혁신을 가속화할 수 있습니다.

GitLab, 2026년 옴디아 유니버스 리더로 선정 (새 탭에서 열림)

GitLab이 2026년 옴디아 유니버스(Omdia Universe) AI 지원 소프트웨어 개발 부문에서 리더로 선정되며, 전체 소프트웨어 개발 수명 주기(SDLC)를 아우르는 독보적인 기술력을 입증했습니다. 이번 평가는 단순한 코드 생성을 넘어 테스트, 보안, 배포 및 오케스트레이션 능력을 중점적으로 다뤘으며, GitLab은 솔루션 광범위성(100%)과 전략적 혁신성(88%) 등 주요 항목에서 최고 점수를 기록했습니다. 결과적으로 GitLab은 AI 도입이 단순한 개발 속도 향상을 넘어 실제 비즈니스 가치 창출과 운영 효율성으로 이어질 수 있음을 보여주었습니다. ### SDLC 전반을 아우르는 솔루션의 확장성 * GitLab은 '솔루션 광범위성' 항목에서 100% 점수를 획득하며, 계획 및 요구사항 관리부터 배포 및 이슈 해결까지 SDLC 전 단계를 단일 플랫폼에서 지원합니다. * 플래너 에이전트(Planner Agent)와 보안 분석 에이전트(Security Analyst Agent)를 통해 개발 지연이 빈번한 스프린트 계획 및 취약점 분석 단계까지 AI 지원을 확장했습니다. * 단순 코드 생성을 넘어 테스트, 보안 검토, 배포 단계를 통합함으로써 코딩 단계의 가속화가 병목 현상 없이 전체 인도 속도 향상으로 이어지도록 설계되었습니다. ### 에이전트 기반 AI와 전략적 혁신 * Anthropic, Google, AWS와의 파트너십을 통한 멀티 모델 지원을 제공하여, 사용자가 워크로드와 데이터 요구사항에 최적화된 모델을 선택할 수 있습니다. * 에이전트가 이슈, 머지 리퀘스트(MR), 파이프라인, 보안 결과물 간의 문맥을 잃지 않고 협업하는 '통합 문맥(Unified Context)' 아키텍처를 구축했습니다. * 2026년 평가의 핵심 지표인 '에이전틱 AI(Agentic AI)' 역량에서 자율적인 작업 조정 및 전문 에이전트 간의 핸드오프 오케스트레이션 능력을 인정받았습니다. ### 엔터프라이즈 환경을 위한 보안 및 실행력 * 고객의 비공개 데이터를 학습에 사용하지 않는 프라이버시 우선 아키텍처를 통해 엔터프라이즈 급 보안을 보장합니다. * SOC 2, ISO 27001 인증 및 폐쇄망(Air-gapped) 환경 지원, 자체 호스팅 AI 모델 지원 등을 통해 규제가 엄격한 산업군의 요구사항을 충족합니다. * AI 영향력 대시보드(AI Impact Dashboard)를 통해 사이클 타임, 배포 빈도 등 AI가 실제 생산성에 미치는 영향을 지표로 시각화하여 제공합니다. ### 개발자와 AI 에이전트의 역할 변화 * 개발팀의 역할은 이제 직접 코드를 작성하는 것에서 AI 에이전트를 감독하고 기술적 요구사항 및 보안 가드레일을 적용하는 방향으로 진화하고 있습니다. * 단순히 코드 생성 속도에만 집중하는 조직은 배포와 테스트 단계에서 병목 현상을 겪게 되므로, 전체 수명 주기를 관리할 수 있는 플랫폼 도입이 필수적입니다. * GitLab은 보안과 운영이 통합된 환경을 제공함으로써, AI가 생성한 코드가 고품질과 성능을 유지하며 즉시 생산 환경에 반영될 수 있는 혁신 속도를 지원합니다.

GitLab 파이프라인 로직이 엔지니어링 문제를 해결하는 5가지 방법 (새 탭에서 열림)

GitLab의 파이프라인 실행 모델은 모노레포, 마이크로서비스, 다중 환경 배포와 같은 현대적인 엔지니어링 복잡성을 해결하기 위해 설계되었습니다. 부모-자식 파이프라인, DAG(Directed Acyclic Graph), 멀티 프로젝트 트리거 등의 기능을 조합하면 단순히 빌드 속도를 높이는 것을 넘어 조직의 표준을 강제하면서도 병목 현상을 줄이는 확장 가능한 CI/CD 시스템을 구축할 수 있습니다. 결과적으로 이러한 구성 가능한 패턴들을 이해하고 활용하는 것이 효율적인 소프트웨어 배포의 핵심입니다. **모노레포 최적화를 위한 부모-자식 파이프라인과 DAG 실행** - 특정 서비스의 변경사항이 발생했을 때만 관련 파이프라인이 실행되도록 '부모-자식 파이프라인'을 구성하여 불필요한 전체 재빌드를 방지합니다. - `trigger: include`와 `strategy: depend`를 사용하여 부모 파이프라인이 자식 파이프라인의 결과에 의존하게 함으로써, 상위 수준에서 전체 서비스의 상태를 한눈에 파악할 수 있습니다. - `needs` 키워드를 활용한 DAG(비순차적 실행) 모델을 적용하면, 동일 단계(stage)의 다른 작업이 끝나기를 기다리지 않고 의존성이 해결되는 즉시 다음 작업을 시작하여 파이프라인 실행 시간을 획기적으로 단축합니다. - 각 서비스가 독립적인 설정 파일을 가질 수 있어 조직적 분리가 용이하며, 한 서비스의 설정 오류가 전체 모노레포 시스템을 중단시키지 않도록 격리합니다. **마이크로서비스 간 연동을 위한 멀티 프로젝트 파이프라인** - 서로 다른 리포지토리에 존재하는 프론트엔드와 백엔드 간의 의존성 문제를 해결하기 위해 '멀티 프로젝트 트리거'를 사용하여 파이프라인을 연결합니다. - 프론트엔드 파이프라인에서 API 계약(Contract) 아티팩트를 생성하고, 이를 백엔드 파이프라인 트리거 시 전달하여 서비스 간 정합성을 자동으로 검증합니다. - `$CI_JOB_TOKEN`을 활용한 Jobs API 호출을 통해 다른 프로젝트의 아티팩트를 안전하게 가져올 수 있으며, 이를 통해 통합 테스트의 자동화 수준을 높입니다. - 업스트림 파이프라인 뷰에서 연결된 다운스트림 파이프라인의 상태를 실시간으로 확인할 수 있어, 서비스 간 변경 사항이 미치는 영향에 대한 가시성을 제공합니다. GitLab이 제공하는 이러한 파이프라인 로직은 단순한 빌드 도구를 넘어 복잡한 아키텍처를 관리하는 강력한 오케스트레이션 엔진 역할을 합니다. 대규모 모노레포를 운영하거나 서비스 간 의존성이 복잡한 마이크로서비스 환경이라면, DAG를 통한 속도 최적화와 멀티 프로젝트 트리거를 통한 통합 검증 체계를 우선적으로 도입할 것을 권장합니다.

GitLab Duo CLI: Agentic AI now in the terminal (새 탭에서 열림)

GitLab Duo CLI는 IDE를 넘어 터미널 환경에서 전체 소프트웨어 개발 생애주기(SDLC)를 지원하는 에이전트형 AI 도구입니다. 이 도구는 단순한 코드 완성을 넘어 파이프라인 디버깅, CI/CD 자동화 등 복잡한 작업을 수행하며, 인간의 승인을 거치는 대화형 모드와 자동화된 워크플로우를 위한 헤드리스 모드를 모두 지원합니다. 보안과 제어 권한을 플랫폼 수준에서 강화하여 개발자가 터미널 내에서 안전하고 효율적으로 에이전트 기반 AI의 성능을 활용할 수 있도록 설계되었습니다. **터미널 환경으로의 확장 배경** * 기존의 AI 비서들이 IDE 내에서 코드 작성(Auto-complete)에만 집중했던 것과 달리, Duo CLI는 테스트 실행, 파이프라인 트리거, 취약점 스캔 모니터링 등 개발 전 단계의 자동화를 목표로 합니다. * CLI는 출력을 파이프라인으로 연결하거나 명령어를 체이닝하고 스크립트에 삽입할 수 있어 기계와 인간 모두에게 유연한 인터페이스를 제공합니다. * IDE가 맥락 중심의 인터랙티브한 개발에 유리하다면, 터미널은 자동화, 이식성, 투명한 디버깅 측면에서 강력한 강점을 가집니다. **운영 모드 및 주요 기능** * **대화형 모드(Interactive mode):** 에디터와 무관한 터미널 채팅 환경을 제공하며, 모든 작업 실행 전 사용자의 승인을 거치는 'Human-in-the-loop' 방식을 따릅니다. 이를 통해 코드 구조 파악, 오류 수정, 파이프라인 트러블슈팅이 가능합니다. * **헤드리스 모드(Headless mode):** CI/CD 러너나 스크립트 내에서 사람의 개입 없이 독립적으로 작동하도록 설계되었습니다. * **에이전트 활용:** GitLab Duo Agent Platform에 정의된 모든 에이전트와 워크플로우에 접근할 수 있어 코드 리팩토링부터 복잡한 다단계 개발 작업까지 자율적으로 수행합니다. **보안 모델 및 가드레일** * **플랫폼 내장 보안:** 프롬프트 주입(Prompt injection) 탐지 기능을 플랫폼 수준에서 기본적으로 지원하여 외부 위협으로부터 시스템을 보호합니다. * **복합 ID(Composite identity):** 에이전트가 접근할 수 있는 범위를 엄격히 제한하며, AI가 수행하는 모든 행동에 대해 감사(Audit)가 가능하도록 기록을 남깁니다. * **사용자 정의 지침:** `chat-rules.md`, `AGENTS.md`, `SKILL.md`와 같은 설정 파일을 통해 에이전트에게 허용된 작업, 자원, 지식 범위를 명시적으로 정의하는 '최소 권한 원칙'을 적용합니다. **실용적인 제언** GitLab Duo CLI는 현재 공개 베타 상태로 제공되고 있습니다. 기존 GitLab CLI(`glab`) 사용자는 `glab duo cli` 명령어를 통해 즉시 설치 및 구성이 가능합니다. 반복적인 파이프라인 문제 해결이나 대규모 코드 현대화 작업을 자동화하려는 팀은 대화형 모드로 충분히 검증을 거친 후, 헤드리스 모드를 CI/CD 파이프라인에 통합하여 생산성을 극대화할 것을 추천합니다.

3월 공급망 사고를 통해 본 파이프라인 보안 교훈 (새 탭에서 열림)

최근 발생한 일련의 공급망 공격 사례들은 CI/CD 파이프라인이 현대 소프트웨어 보안의 가장 취약한 고리이자 정교한 위협 행위자들의 핵심 타겟임을 보여줍니다. 이 글은 Trivy, axios 등 주요 오픈소스 도구의 침해 사례를 통해 파이프라인의 내재적 위험을 분석하고, GitLab의 '파이프라인 실행 정책(PEP)'을 활용하여 이러한 공격 패턴을 사전에 차단하고 탐지하는 구체적인 방안을 제시합니다. ## 3월 공급망 공격 사례와 파급력 * **Trivy 및 Checkmarx KICS 침해:** 보안 스캐너 자체가 공격 경로가 되어 CI/CD 환경 변수, 클라우드 토큰, SSH 키 등 민감한 자격 증명을 탈취하는 악성 코드가 삽입되었습니다. * **LiteLLM 백도어 배포:** 침해된 Trivy를 통해 유출된 자격 증명을 사용하여 PyPI에 백도어가 포함된 버전을 게시했으며, 이는 설치 시 즉시 실행되어 데이터를 외부로 유출했습니다. * **AI 코딩 어시스턴트 소스 코드 유출:** 패키징 설정 오류(.npmignore 미비)로 인해 59.8MB에 달하는 전체 소스 코드가 포함된 소스 맵 파일이 공용 npm 저장소에 노출되었습니다. * **axios 트로이목마 주입:** 메인테이너 계정 탈취를 통해 원격 제어 트로이목마(RAT)를 배포하는 악성 종속성이 주입되어 수백만 명의 사용자에게 영향을 미쳤습니다. ## 공급망 공격의 주요 패턴 * **도구 및 액션의 오염:** 파이프라인 내에서 실행되는 보안 도구를 무비판적으로 신뢰하는 점을 악용하며, 가변적인 버전 태그(Tag)를 통해 악성 코드가 주입됩니다. * **패키징 구성 오류:** 빌드 과정에서의 설정 실수로 디버깅 아티팩트나 내부 설정 파일이 운영 패키지에 포함되어 지적 재산권(IP)이 유출되는 경로가 됩니다. * **전이적 종속성 취약점:** 직접적인 종속성뿐만 아니라 하위 종속성 트리에 악성 코드를 심어 전체 빌드 인프라로 위협을 확산시킵니다. ## GitLab 파이프라인 실행 정책(PEP)을 통한 방어 * **강제적 보안 작업 주입:** 개발자가 정의한 `.gitlab-ci.yml` 설정과 관계없이, 조직 전체의 파이프라인에 보안 작업을 강제로 삽입하며 이는 개발자가 임의로 건너뛸 수 없습니다. * **패키징 검증 자동화:** 패키지 배포 전 단계에서 소스 맵, 내부 설정 파일(.env), 소름 돋는 대용량 파일 등 예기치 않은 파일의 포함 여부를 허용 목록과 대조하여 차단합니다. * **불변 식별자 사용 강제:** 도구 및 액션 사용 시 가변적인 태그 대신 불변의 커밋 SHA 또는 이미지 디지스트(Digest) 사용을 강제하여 태그 오염 공격을 방어합니다. * **종속성 드리프트 감지:** 락파일(lockfile)의 상태를 비교하여 예상치 못한 신규 종속성이나 버전 변경이 감지될 경우 빌드를 중단하고 보안 팀에 알림을 보냅니다. 조직의 보안을 개별 프로젝트의 설정에 의존하는 것은 위험합니다. 중앙 집중식 파이프라인 실행 정책을 통해 보안 검사를 표준화하고 강제함으로써, 신뢰 기반의 공급망 공격으로부터 인프라와 지적 재산권을 효과적으로 보호할 수 있습니다.

SmartBear QMetry GitLab 컴포넌트로 테스트 관리 효율화하기 (새 탭에서 열림)

SmartBear QMetry GitLab 컴포넌트는 GitLab CI/CD 파이프라인에서 생성된 테스트 결과를 QMetry Test Management Enterprise로 자동 업로드하여 테스트 관리 공수를 획기적으로 줄여줍니다. 이 통합은 수동 업로드로 인한 지연과 오류를 제거하고, 요구사항부터 실행 결과까지의 엔드투엔드 추적성을 보장하여 엔터프라이즈 환경에서의 품질 관리를 강화합니다. 결과적으로 개발 팀은 실시간 데이터와 AI 기반 인사이트를 바탕으로 더욱 빠르고 신뢰할 수 있는 릴리스 의사결정을 내릴 수 있습니다. **GitLab과 QMetry 통합의 주요 가치** * **수동 프로세스 제거**: JUnit, TestNG 등 다양한 형식의 테스트 결과를 파이프라인 완료 후 자동으로 업로드하여 QA 팀의 단순 반복 작업을 최소화합니다. * **추적성 및 규정 준수**: 테스트 결과를 특정 GitLab 커밋 및 빌드와 연결함으로써 금융, 항공우주, 의료 기기 등 규제 산업에서 필수적인 감사 추적(Audit Trail)을 완벽하게 지원합니다. * **피드백 루프 가속화**: 테스트가 완료되는 즉시 스테이크홀더가 결과를 확인할 수 있어, 문제 발생 시 즉각적인 조치가 가능하고 릴리스 주기가 단축됩니다. * **AI 기반 인사이트 활용**: 파이프라인의 실시간 데이터를 QMetry의 AI 엔진에 공급함으로써 취약한 테스트(Flaky tests) 식별 및 실패 예측의 정확도를 높입니다. **자동화된 테스트 결과 관리 워크플로우** * **테스트 실행**: GitLab CI/CD 파이프라인 내에서 단위 테스트, 통합 테스트 또는 E2E 테스트가 실행됩니다. * **결과 생성**: 테스트 도구에 의해 JUnit XML 또는 TestNG XML과 같은 표준 형식의 결과 파일이 생성됩니다. * **컴포넌트 호출**: GitLab CI/CD 카탈로그에 등록된 QMetry 컴포넌트가 파이프라인의 한 단계(Job)로 실행됩니다. * **API 자동 업로드**: 컴포넌트가 결과 파일을 읽어 QMetry API를 통해 지정된 프로젝트로 데이터를 전송하며, 이 과정은 별도의 수동 개입 없이 이루어집니다. **설정 및 보안 준비 사항** * **API 자격 증명**: QMetry Enterprise 인스턴스의 설정 메뉴에서 API Key를 생성해야 하며, 해당 키는 결과 업로드를 위한 쓰기 권한을 가져야 합니다. * **보안 유지**: 생성된 API Key는 보안을 위해 `.gitlab-ci.yml` 파일에 직접 노출하지 않고, 반드시 GitLab CI/CD 변수(Variables) 기능을 사용하여 관리해야 합니다. * **환경 구성**: 업로드를 위해 QMetry 인스턴스 URL(예: `https://company.qmetry.com`)과 테스트 결과를 업로드할 대상 프로젝트 정보를 사전에 확인해야 합니다. **실용적인 권장 사항** 데브섹옵스(DevSecOps) 성숙도를 높이려는 조직은 이 컴포넌트를 도입하여 '속도 기반의 품질 관리'를 실현할 수 있습니다. 특히 복잡한 규제 준수가 필요한 항공우주나 금융 분야의 팀에게는 이 자동화 도구가 감사 준비 시간을 단축하고 데이터 일관성을 유지하는 데 강력한 도구가 될 것입니다. 초기 설정 시 모든 테스트 결과를 한곳으로 모으는 것뿐만 아니라, QMetry 내에서 테스트 스위트 구조를 먼저 최적화한 후 자동화를 적용하는 것이 보다 체계적인 리포팅을 위해 권장됩니다.

packages.gitlab.com의 변경 사항: 알아야 할 내용 (새 탭에서 열림)

GitLab은 더욱 효율적이고 안정적인 패키지 호스팅을 위해 `packages.gitlab.com`의 인프라를 새로운 시스템으로 이전하고 있습니다. 기본 도메인은 유지되지만, URL 형식, GPG 키 위치, 네트워크 허용 목록 및 UI 등 주요 구성 요소가 변경되므로 사용자의 대응이 필요합니다. 기존 구성에 대한 하위 호환성은 2026년 9월 30일까지 유지되지만, 서비스 중단을 방지하기 위해 기한 내에 새로운 설정으로 전환해야 합니다. ### 주요 변경 일정 및 인프라 전환 * **2026년 3월 31일**: 기존 PackageCloud 시스템과 관련 UI가 완전히 종료됩니다. * **2026년 9월 30일**: 이전 URL 형식을 새 형식으로 연결해 주던 재작성(Rewrite) 규칙이 제거되어, 이후에는 새로운 URL로만 접근이 가능합니다. * **저장소 백엔드 변경**: 패키지 저장소가 기존 AWS CloudFront에서 Google Cloud Storage(GCS)로 이전되었습니다. ### 리눅스 패키지 저장소(DEB/RPM) 설정 업데이트 * **DEB 저장소 경로 변경**: `gitlab/*` 관련 저장소(gitlab-ee, gitlab-ce 등)의 URL 구조에 배포판 코드네임(예: jammy)이 경로 세그먼트로 추가되었습니다. 표준 데비안 저장소 형식에 맞게 변경된 것이며, `runner/*` 저장소는 이번 변경에서 제외됩니다. * **설치 스크립트 재실행**: 가장 간단한 업데이트 방법은 GitLab에서 제공하는 최신 설치 스크립트(`script.deb.sh` 또는 `script.rpm.sh`)를 다시 다운로드하여 실행하는 것입니다. * **GPG 키 주소 변경**: 기존 `https://packages.gitlab.com/gpg.key` 주소가 `https://packages.gitlab.com/gpgkey/gpg.key`로 변경되었으므로 설정을 갱신해야 합니다. ### 네트워크 및 방화벽 설정 요구사항 * **GCS 허용 목록 추가**: 패키지 다운로드 시 GCS로 리다이렉트되므로, 엄격한 방화벽이나 프록시를 사용하는 환경에서는 `https://storage.googleapis.com/packages-ops` 주소를 허용 목록에 반드시 추가해야 합니다. 이를 누락할 경우 503 오류나 연결 시간 초과가 발생할 수 있습니다. ### GitLab Runner 및 자동화 스크립트 수정 * **Runner RPM 아키텍처 경로**: RPM 기반 배포판(RHEL/CentOS 등)에서 GitLab Runner 관련 `noarch` 패키지들이 `x86_64` 경로로 이동되었습니다. 관련 자동화 설정이 있다면 경로를 수정해야 합니다. * **직접 다운로드 URL**: 기존 PackageCloud 방식의 `download.deb` 또는 `download.rpm` 형식의 URL은 더 이상 지원되지 않습니다. 새로운 UI에서 제공하는 직접적인 패키지 경로를 사용하도록 자동화 스크립트를 수정해야 합니다. 가장 권장되는 방법은 GitLab 공식 문서의 최신 가이드를 따라 설치 스크립트를 다시 실행하여 저장소 구성을 자동으로 갱신하는 것입니다. 2026년 9월 호환성 종료 기간에 임박하기 전, 미리 방화벽 규칙과 패키지 경로 설정을 점검하여 운영 환경의 연속성을 확보하시기 바랍니다.